안녕하세요. 개인정보보호 파트너 캐치시큐입니다.
개인정보 보호법, 개인정보 보호법 시행령, 표준 개인정보 보호지침, 개인정보의 안전성 확보조치 기준, 거기에 정보통신망법까지 …
모든 법률을 찾아가며 어렵게 처리방침과 동의서를 작성했지만 이게 맞는지, 잘못된 건 아닌지 헷갈리셨던 분들! 주목하시기 바랍니다.
오늘은 2022년, 스타트업이 개인정보 수집·이용 시 가장 많이 실수했던 5가지 사례를 함께 살펴보려 합니다.
Check!
- 스타트업이 가장 많이 실수하는 사항 Top5
5위 : 메신저로 문의를 받을 때
4위 : 고객이 결제 및 환불을 진행할 때
3위 : 광고성 정보를 발송할 때
2위 : 회원가입 할 때
1위 : 개인정보 수집·이용에 동의를 받을 때 - 마치며
1. 스타트업이 가장 많이 실수하는 사항 Top 5
저희 캐치시큐가 컨설팅을 진행하며 다양한 서비스의 현황을 분석해 보니, 많은 기업에서 공통으로 실수하고 있는 사항이 있다는 것을 인지할 수 있었는데요. 지금부터 2022년도, 스타트업이 가장 많이 실수한 개인정보 수집·이용 사례와 개선방안 5가지를 소개하겠습니다.
5위 : 메신저로 문의를 받을 때
Top 5 : 비회원의 메신저 문의, 동의를 받아야 합니다!
회원과 비회원의 구분 없이, 누구나 쉽게 서비스 이용 문의가 가능하다는 점에서 최근 메신저 앱을 통한 알림 메시지, 문의 메시지를 받는 분들이 많아지고 있습니다.
회원의 경우 회원가입 시점에 개인정보 수집·이용 동의를 받았기 때문에 괜찮을 것 같은데, 개인정보를 수집하지 않은 비회원의 경우에도 동의를 받아야 하는 건지 헷갈리는 분들이 많으실 거예요.
하지만, 비회원이 메신저를 통해 서비스에 대한 상담 및 문의를 하는 경우에도 동의를 받아야 합니다.
카카오톡 ID, 상담 및 문의 내용은 개인정보에 포함되기 때문인데요. 따라서 개인정보 수집·이용을 위해 법령에서 정한 4가지 항목을 알리고 동의를 받은 후, 상담을 진행해야 합니다.
- 법령에서 정한 4가지 항목이란?
- 개인정보의 수집·이용 목적
- 수집하려는 개인정보의 항목
- 개인정보의 보유 및 이용 기간
- 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
회원과 별개로 비회원만 따로 이용할 수 있는 페이지를 만들어둔 경우에도, 개인정보를 수집하는 경우에는 회원에게 동의를 받은 것과 마찬가지로 개인정보 수집·이용, 개인정보 제3자이용에 관한 동의를 받아야 합니다.
4위 : 고객이 결제 및 환불을 진행할 때
Top 4 : 유료 결제가 일어나는 시점에도, 체크 박스를 활용하여 동의를 받아야 합니다!
최근 다양한 서비스들이 정보통신망을 이용하여 결제 서비스를 제공하고 있는데요.
결제를 위해 이름, 휴대폰 번호, 은행명, 계좌번호, 카드사, 일부 카드번호, 가상 계좌번호 등의 개인정보를 수집하게 됩니다. 위수탁 관계를 맺어 결제 대행사를 통해 결제를 진행하는 경우에도 우리 기업에서 개인정보를 수집하여 전달하는 것과 같으므로, 꼭 고객의 동의를 받아 진행해야 합니다.
여기서 추가로, 많은 스타트업에서 자주 실수하는 부분이 있습니다.
바로, 결제에 관한 동의 문구는 있더라도 결제 동의서가 없거나, 동의를 위한 체크박스( ✅)가 없다는 것인데요. 개인정보보호위원회의 ‘온라인 개인정보 처리 가이드라인’을 살펴보면, 개인정보 수집·이용 동의를 받을 때는 명시적·실질적으로 동의를 받아야 하며, 동의여부에 관한 이용자의 자발적 의사표시가 있어야 한다고 나와 있습니다.
따라서, 고객의 개인정보를 수집하기 위해서는 동의서에 체크박스가 꼭 있어야 하며, 고객이 동의 여부를 선택할 수 있도록 체크 표시 처리된 것을 default 값으로 설정해서는 안 됩니다.
3위 : 광고성 정보를 발송할 때
Top 3 : 고객에게 광고성 정보를 발송하기 전, 선택 동의를 받아야 합니다!
마케팅과 관련된 정보를 제공하기 위해서는 필수 동의가 아닌 선택 동의가 필요하다는 사실, 이제 많은 분들이 알고 계실 텐데요. 동의 내용을 바탕으로 고객에게 유용한 정보를 담은 뉴스레터를 발송할 때, 중간중간 우리 회사의 할인 혜택, 이벤트, 상품 안내 및 소개 등 마케팅과 관련된 내용이 포함되어 있지는 않은가요?
고객에게 할인 혜택, 이벤트 안내 등과 같은 사항에 대해 동의를 받지 않았다면, 뉴스레터 발송 동의를 받았더라도 해당 내용을 포함해서는 안 됩니다
만일, 고객에게 사내 마케팅과 관련된 안내를 제공하고 싶은 경우에는 해당 동의서의 수집 목적에 뉴스레터뿐만 아니라 자사의 상품 안내, 이벤트 안내에 관한 사항도 꼭 추가하여야 합니다.
또한, 고객이 마케팅 수신 여부를 정한 경우, 법령에서 정한 3가지 사항을 포함하여 고지하여야 합니다.
- 법령에서 정한 3가지 사항?
- 전송자의 명칭
- 수신자의 수신동의, 수신거부 또는 수신동의 철회 사실과 해당 의사를 표시한 날짜
- 처리 결과
참고로,오후 21시 – 오전 8시에도 광고성 정보를 발송하고자 하는 경우에는 별도의 동의를 받아야 한다는 점, 잊지 마세요!
2위 : 고객이 회원가입을 할 때
Top 2 : 만일 만 14세 미만에게 서비스를 제공하지 않는 경우, 고객의 연령대를 확인해야 합니다!
서비스의 이용 연령대를 다양화하는 것도 좋지만, 만 14세 미만 아동의 개인정보를 처리하기 위해서는 법정대리인의 동의를 받아야 한다는 사실, 알고 계셨나요?
만 14세 이상 고객만을 대상으로 서비스를 제공하기 위해서는 회원가입 시 확인 절차를 진행해야 합니다. 확인 절차로는
- 체크박스를 통해 이용자가 직접 본인이 만 14세 이상임을 확인하는 방법
- 본인인증 기관으로부터 나이를 확인하는 방법
이렇게 두 가지가 있습니다.
만일, 만 14세 미만 아동에게도 서비스를 제공하기 위해 아동의 개인정보를 수집해야 하는 경우에는, 법정대리인의 동의를 따로 받아야 합니다. 필수 항목과 선택 항목은 구분하여 동의받을 수 있으니 참고하시기 바랍니다.
1위 : 개인정보 수집·이용에 동의를 받을 때
Top 1 : 개인정보 처리방침이 아니라, 개인정보 수집·이용 동의서에 동의를 받아야 합니다!
+) 개인정보 취급방침이 아닌, ‘개인정보 처리방침’
2022년, 스타트업에서 가장 많이 실수했던 사례는 바로 ‘개인정보 처리방침에 동의받기’입니다.
개인정보 처리방침이란, 서비스 제공을 위해 회사가 고객에게 수집한 개인정보를 어느 범위에서 이용할 것인지, 어떻게 안전하게 관리할 것인지 규정한 문서인데요. 반면, 개인정보 수집·이용 동의서는 고객(정보 주체)에게 수집하는 개인정보가 어떤 용도로 쓰이는지 안내하고 이에 대한 동의를 받는 문서입니다.
따라서, 개인정보 처리방침에는 동의를 받아서는 안 되는 것이죠.
개인정보 처리방침은 고객이 언제든지 쉽게 확인할 수 있도록 각 홈페이지 혹은 APP 하단에 항상 공개해둬야 하며, 주변 약관보다 강조하여 표기하여야 합니다. 즉, 개인정보 수집·이용 동의를 받을 때만 사용하거나 공개해서는 안 되는 것이죠.
또한, 개인정보 취급방침, 개인정보 보호방침이 아니라 ‘개인정보 처리방침’이라는 정확한 명칭을 사용해야 합니다.
2. 마치며
오늘은 2022년을 돌아보며, 스타트업에서 개인정보 수집·이용 시 가장 많이 실수했던 5가지 사례와 개선방향을 함께 살펴보았습니다.
해가 지날수록 개인정보보호에 대한 인식이 높아지고 있고, 규제가 심화되고 있는 만큼 기본적인 사항들을 준수하는 것이 중요해 보입니다.
혹시, 개인정보 수집·이용 동의서나 개인정보 처리방침 작성 및 수정에 어려움을 느끼시고 계신가요?
아니면, 우리 회사 서비스의 동의서와 처리방침을 검토 받기 원하시나요?
동의서 및 처리방침과 관련한 문의가 있으신 분은 개인정보보호 전문가에게 무료 상담을 신청하셔서, 서비스 현황도 파악하고 궁금증도 해결하시기 바립니다.
2023년 개인정보보호도, 캐치시큐와 함께하세요!
감사합니다.